Esta página se ha traducido con Cloud Translation API.

Prácticas recomendadas de redes

En esta página se describen las prácticas recomendadas de redes para VMware Engine de Google Cloud.

Evitar problemas de enrutamiento

Las comunicaciones dentro de VMware Engine y con el resto de Internet se enrutan en la capa 3, excepto las redes que se amplían desde entornos on-premise o desde otras nubes privadas de VMware Engine.

Para evitar problemas con la configuración y, posiblemente, con el rendimiento o los límites al configurar el enrutamiento hacia y desde el entorno de VMware Engine, sigue estas prácticas recomendadas:

Configura el Cloud Router asociado a la conexión híbrida on-premise de Cloud VPN o Cloud Interconnect con anuncios personalizados de resumen para los intervalos de VMware Engine y los intervalos de otros servicios de computación de Google, como Google Kubernetes Engine y Compute Engine.
Usa un espacio de direcciones IP contiguo para las subredes de segmentos de NSX.
Para minimizar el número de rutas que se anuncian al resto de Google, resume las rutas de segmento de NSX en el nivel 0 de la siguiente manera:
- Si se necesita NAT, resume las IPs de NAT fuera del nivel 0 en lugar de /32.
- Resumir las IPs de los endpoints de IPsec (/32) en el nivel 0.
- Resume las IPs de los perfiles de DNS (/32) en el nivel 0.
Habilita Relay DHCP de NSX-T en función de si los servicios DHCP se alojarán en VMware Engine o en otro lugar.
Cuando redistribuyas rutas estáticas de nivel 0 en BGP, aplica un mapa de rutas para evitar que se redistribuya 0/0.

Elige una opción de acceso a Internet adecuada

VMware Engine ofrece las siguientes opciones para configurar el acceso a Internet y las direcciones IP públicas. Tenga en cuenta las ventajas y desventajas de cada una, tal como se indica en la siguiente tabla, para elegir la opción más adecuada:

Opción de acceso a Internet	Ventajas	Desventajas
Servicio de Internet e IP pública de VMware Engine	No se aplican cargos adicionales. Incluido en el coste del servicio VMware Engine. Es fácil de configurar. Tiene un acuerdo de nivel de servicio.	Tiene una configuración fija. No admite BYOIP. Tiene una cuota y un ancho de banda limitados, por lo que es más adecuada para pruebas de concepto o implementaciones pequeñas. No ofrece visibilidad de las métricas de entrada o salida. Se excluye mutuamente con las otras dos opciones. Necesita dispositivos de terceros para usar la gestión avanzada del tráfico (como la inspección de cortafuegos de nivel 7 o el equilibrio de carga complejo). No admite pasarelas de nivel de aplicación (ALG).
Transferencia de datos a través del perímetro de Internet de la VPC del cliente	Tiene una configuración escalable. Admite BYOIP. Proporciona visibilidad y monitorización completas. Se puede combinar con la inspección de nivel 7, el balanceo de carga avanzado y productos de terceros. Se puede integrar con balanceadores de carga nativos de Google y con Cloud Service Mesh. Se puede integrar con Google Cloud Armor para protegerse frente a ataques DDoS.	Se incurre en costes de transferencia de datos y de IP pública. Requiere una configuración más compleja. No tiene ningún SLA para el servicio combinado.
Transferencia de datos a través de conexiones on-premise	Usa las configuraciones que ya tengas. Centraliza la seguridad y el balanceo de carga en las instalaciones. No conlleva costes adicionales, Google Cloud excepto los gastos de transferencia de datos de Cloud Interconnect.	Permite hacer la menor cantidad de cambios. Ofrece asistencia global limitada. Puede provocar que los servicios de Internet se dividan para algunas cargas de trabajo.

Opción de acceso a Internet

Ventajas

Desventajas

Servicio de Internet e IP pública de VMware Engine

No se aplican cargos adicionales. Incluido en el coste del servicio VMware Engine.

Es fácil de configurar.

Tiene un acuerdo de nivel de servicio.

Tiene una configuración fija.

No admite BYOIP.

Tiene una cuota y un ancho de banda limitados, por lo que es más adecuada para pruebas de concepto o implementaciones pequeñas.

No ofrece visibilidad de las métricas de entrada o salida.

Se excluye mutuamente con las otras dos opciones.

Necesita dispositivos de terceros para usar la gestión avanzada del tráfico (como la inspección de cortafuegos de nivel 7 o el equilibrio de carga complejo).

No admite pasarelas de nivel de aplicación (ALG).

Transferencia de datos a través del perímetro de Internet de la VPC del cliente

Tiene una configuración escalable.

Admite BYOIP.

Proporciona visibilidad y monitorización completas.

Se puede combinar con la inspección de nivel 7, el balanceo de carga avanzado y productos de terceros.

Se puede integrar con balanceadores de carga nativos de Google y con Cloud Service Mesh.

Se puede integrar con Google Cloud Armor para protegerse frente a ataques DDoS.

Se incurre en costes de transferencia de datos y de IP pública.

Requiere una configuración más compleja.

No tiene ningún SLA para el servicio combinado.

Transferencia de datos a través de conexiones on-premise

Usa las configuraciones que ya tengas.

Centraliza la seguridad y el balanceo de carga en las instalaciones.

No conlleva costes adicionales, Google Cloud excepto los gastos de transferencia de datos de Cloud Interconnect.

Permite hacer la menor cantidad de cambios.

Ofrece asistencia global limitada.

Puede provocar que los servicios de Internet se dividan para algunas cargas de trabajo.

Para obtener más información, consulta Configurar el acceso a Internet para máquinas virtuales con cargas de trabajo.

Implementar el encadenamiento de servicios mediante dispositivos de red virtual de terceros

VMware Engine admite el encadenamiento de servicios de red mediante topologías de enrutamiento de capa 3. En este modo, puedes implementar y conectar un dispositivo virtual de red de terceros en VMware Engine para proporcionar servicios de red integrados a las máquinas virtuales de VMware, como el balanceo de carga, el firewall de nueva generación y la detección y prevención de intrusiones. Puedes implementar estos dispositivos de varias formas, en función de los requisitos de segmentación y conectividad de las aplicaciones.

Se pueden usar varias topologías de implementación, con configuraciones más completas y enlaces en la cadena de servicios (por ejemplo, balanceadores de carga delante de firewalls). También es posible implementar estos dispositivos en topologías activo-activo mediante el uso de latidos y redundancia basados en el plano de datos, si el proveedor los admite.

En las siguientes secciones se muestran topologías de implementación de ejemplo que usan un dispositivo de firewall basado en una VM.

Detrás de una pasarela de nivel 1

En esta topología de implementación, el dispositivo de terceros actúa como puerta de enlace predeterminada para varias redes del entorno. Puedes usar el dispositivo para inspeccionar el tráfico entre ellos, así como el tráfico que entra y sale del entorno de VMware Engine.

En el siguiente diagrama se muestra cómo funciona una gateway de nivel 1 en VMware Engine:

El dispositivo de terceros actúa como pasarela predeterminada para varias redes del entorno.

Para implementar esta topología, siga estos pasos:

Configura rutas estáticas en el nivel 1 para que apunten a la VM del appliance y puedas acceder a las redes que hay detrás.
En el nivel 0, redistribuye las rutas estáticas de nivel 1 en BGP.
En cuanto a la compatibilidad con el enrutamiento entre VLANs de invitado, las cargas de trabajo de invitado de VMware están limitadas a 10 NICs virtuales. En algunos casos prácticos, necesitas conectarte a más de 10 VLANs para producir la segmentación de firewall necesaria. En este caso, puede usar el etiquetado VLAN para el ISV. Las máquinas virtuales invitadas de los proveedores de software independientes (ISVs) deben tener el tamaño adecuado para admitir y distribuir el tráfico entre varios conjuntos de dispositivos de ISVs según sea necesario.

Detrás de una pasarela de nivel 0

En esta topología de implementación, una pasarela de nivel 0 actúa como pasarela predeterminada para el dispositivo de terceros, que tiene una o varias pasarelas de nivel 1. La pasarela de nivel 0 se puede usar para proporcionar conectividad enrutada a la misma zona de seguridad y admitir la inspección en zonas de seguridad o con el resto deGoogle Cloud. Esta topología permite comunicaciones de segmento a segmento a gran escala sin inspección de la capa 7.

En el siguiente diagrama se muestra cómo funciona una pasarela de nivel 0 en VMware Engine:

El dispositivo de terceros tiene una o varias pasarelas de nivel 1 detrás.

Para implementar esta topología, siga estos pasos:

Configura una ruta estática predeterminada en cada pasarela de nivel 1 que apunte al NGFW.
Configura rutas estáticas para llegar a los segmentos de carga de trabajo de nivel 0 con el NGFW como siguiente salto.
Redistribuye estas rutas estáticas en BGP con un mapa de rutas para evitar que se redistribuya 0/0.

Siguientes pasos

Consulta las prácticas recomendadas para computación, seguridad, almacenamiento, migración y costes.
Prueba VMware Engine. Consulta las funciones, las ventajas y los casos prácticos para obtener más información.
Consulta arquitecturas de referencia, diagramas, tutoriales y prácticas recomendadas sobre Google Cloud. Visita el Centro de arquitectura de Cloud para obtener más información.